Partager via


Prise en charge des clés gérées par le client

Toutes les données des clients stockées dans Power Platform sont chiffrées au repos avec les clés gérées par Microsoft (MMK) par défaut. Avec les clés gérées par le client (CMK), les clients peuvent apporter leurs propres clés de chiffrement pour protéger les données Power Automate. Cette capacité permet aux clients de disposer d’une couche de protection supplémentaire pour gérer leurs actifs Power Platform. Avec cette fonctionnalité, vous pouvez faire pivoter ou échanger des clés de chiffrement à la demande. Elle empêche également l’accès de Microsoft à vos données client, si vous choisissez de révoquer l’accès de la clé aux services Microsoft à tout moment.

Avec les CMK, vos workflows et toutes les données au repos associées sont stockés et exécutés dans une infrastructure dédiée, partitionnée par l’environnement. Cela inclut les définitions de workflow, les flux de cloud et de bureau et l’historique d’exécution de workflow avec des entrées et sorties détaillées.

Considérations préalables à la protection de vos flux avec la clé CMK

Tenez compte des scénarios suivants lorsque vous appliquez la stratégie d’entreprise CMK à votre environnement.

  • Lorsque la stratégie d’entreprise CMK est appliquée, les flux de cloud et leurs données avec CMK sont automatiquement protégés. Certains flux peuvent continuer à être protégés par des MMK. Les administrateurs peuvent identifier ces flux à l’aide de commandes PowerShell.
  • La création et les mises à jour des flux sont bloquées pendant la migration. L’historique des exécutions n’est pas reporté. Vous pouvez en faire la demande via un ticket de support jusqu’à 30 jours après la migration.
  • Actuellement, les CMK ne sont pas utilisées pour chiffrer les connexions autres que OAuth. Ces connexions non basées sur Microsoft Entra continuent d’être chiffrées au repos à l’aide de MMK.
  • Pour activer le trafic réseau entrant et sortant à partir de l’infrastructure protégée par CMK, mettez à jour la configuration de votre pare-feu pour garantir que vos flux continuent de fonctionner.
  • Si vous prévoyez de protéger plus de 25 environnements dans votre locataire à l’aide de CMK, créez un ticket de support. La limite par défaut d’environnements Power Automate compatibles avec CMK par locataire est de 25. Ce nombre peut être étendu en contactant l’équipe d’assistance.

L’application d’une clé de chiffrement est un geste effectué par les administrateurs Power Platform et est invisible pour les utilisateurs. Les utilisateurs peuvent créer, enregistrer et exécuter des workflows Power Automate exactement de la même manière que si les MMK chiffraient les données.

La fonctionnalité vous permet de tirer parti de la stratégie d’entreprise unique créée sur l’environnement pour sécuriser les workflows Power Automate. Pour en savoir plus sur les CMK et les instructions pas à pas pour activer les CMK, consultez Gérer votre clé de chiffrement gérée par le client.

Automatisation robotisée des processus hébergés Power Automate (RPA) (version préliminaire)

La fonctionnalité de groupe de machines hébergées de la solution Introduction à la RPA hébergée Power Automate prend en charge les CMK. Après avoir appliqué les CMK, vous devez réapprovisionner les groupes de machines hébergées existants en sélectionnant Réapprovisionner le groupe sur la page des détails du groupe de machines. Une fois réapprovisionnés, les disques de machine virtuelle des bots du groupe de machines hébergées sont chiffrés avec la CMK.

Note

La fonctionnalité CMK pour la machine hébergée n’est pas disponible actuellement.

Mettre à jour la configuration du pare-feu

Power Automate vous permet de créer des flux pouvant effectuer des appels HTTP. Une fois que vous avez appliqué la CMK, les actions HTTP sortantes de Power Automate proviennent d’une plage d’adresses IP différente de celle antérieure. Si le pare-feu a déjà été configuré pour autoriser les actions HTTP de flux, il est probable que la configuration doive être mise à jour pour permettre la nouvelle plage d’adresses IP.

  • Si vous utilisez le pare-feu Azure, appliquez l’étiquette de service PowerPlatformPlex directement à la configuration pour que la plage d’adresses IP appropriée soit configurée automatiquement. Pour en savoir plus, consultez la rubrique Balises de service réseau virtuel.
  • Si vous utilisez un autre pare-feu, recherchez et activez le trafic entrant à partir de la plage d’adresses IP pour PowerPlatformPlex référencé dans le téléchargement de Plages d’adresses IP et étiquettes de service Azure - Cloud public.

Si cette option n’est pas disponible, vous pouvez obtenir l’erreur, La requête Http a échoué car une erreur s’est produite : « Aucune connexion n’a pu être établie car la machine cible l’a activement refusée. »

Messages d’avertissement de l’application CMK Power Automate

Si certains flux continuent d’être protégés par des clés MMK après l’application de la clé CMK, des avertissements s’affichent dans les expériences de gestion des stratégies et de l’environnement. Un message « Power Automate les flux sont toujours protégés avec la clé gérée par Microsoft » s’affiche.

Capture d’écran du message d’avertissement dans le centre d’administration Power Platform.

Vous pouvez utiliser les commandes PowerShell pour identifier ces flux et les protéger avec des clés CMK.

Protéger les flux qui continuent d’être protégés par MMK

Les catégories de flux suivantes continuent d’être protégées par MMK après application de la stratégie d’entreprise. Suivez les instructions pour protéger les flux par CMK.

Categorie Approche de protection avec CMK
Flux de déclencheur Power App v1 qui ne sont pas présents dans une solution Option 1 (recommandée)
Mettez à jour le flux pour utiliser le déclencheur V2 avant d’appliquer la CMK.

Option 2
Après l’application de la CMK, utilisez l’option Enregistrer sous pour créer une copie du flux. Mettez à jour l’appel de Power Apps pour utiliser la nouvelle copie du flux.
Flux de déclencheur HTTP et flux de déclencheur Teams Après l’application de la stratégie d’entreprise, utilisez l’option Enregistrer sous pour créer une copie du flux. Mettez à jour le système d’appel pour utiliser l’URL du nouveau flux.

Cette catégorie de flux n’est pas automatiquement protégée, car une URL de flux est créée dans l’infrastructure protégée par la clé CMK. Les clients peuvent utiliser l’URL dans leurs systèmes d’appel.
Parents des flux qui ne peuvent pas être migrés automatiquement Si un flux ne peut pas être migré, les flux dépendants ne sont pas non plus migrés pour garantir qu’il n’y a pas d’interruption d’activité.

Commandes PowerShell

Les administrateurs peuvent utiliser les commandes PowerShell dans le cadre des validations préalable et postérieures à la version d’évaluation.

Récupérer les flux qui ne peuvent pas être protégés automatiquement à l’aide de la clé CMK

Vous pouvez utiliser la commande suivante pour identifier les flux qui continuent d’être protégés par MMK après l’application CMK Enterprise.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id> -ListCannotMigrateToCustomerManagedKey

DisplayName FlowName EnvironmentName
Obtenir le HTTP de la facture flux-1 environnement-1
Payer la facture à partir de l’application flux-2 environnement-2
Rapprocher un compte flux-3 environnement-3

Récupérer les flux non protégés par la CMK dans un environnement donné

Vous pouvez utiliser cette commande avant et après l’exécution de la stratégie d’entreprise CMK pour identifier tous les flux de l’environnement qui sont protégés par CMK. En outre, vous pouvez utiliser cette commande pour évaluer la progression de l’application CMK pour les flux dans un environnement donné.

> Get-AdminFlowEncryptedByMicrosoftKey -EnvironmentName <Your Environment Id>

Nom d’affichage FlowName EnvironmentName
Obtenir le HTTP de la facture flux-4 environnement-4

Pour en savoir plus, voir Gérer votre clé de chiffrement gérée par le client.

Obtenir l’historique des exécutions à partir de la page Détails du flux

La liste de l’historique d’exécution sur la page Détails du flux affiche les nouvelles exécutions uniquement après l’application de CMK.

Si vous souhaitez afficher les données d’entrée/sortie, vous pouvez utiliser l’historique des exécutions (vue Toutes les exécutions ) pour exporter l’historique des exécutions de flux au format CSV. Cet historique contient des exécutions de flux nouvelles et existantes, y compris toutes les entrées et sorties de déclencheur ou d’action, avec une limite de 100 enregistrements. Cette limitation est conforme au comportement existant pour l’exportation CSV.

Obtenir l’historique des exécutions par ticket de support

Nous fournissons une vue récapitulative de toutes les exécutions de flux existantes et nouvelles après l’application CMK. Cette vue contient des informations récapitulatives telles que l’ID d’exécution, l’heure de début, la durée et les échecs/réussites. Il ne contient pas de données d’entrée/sortie.

Limitations connues

Parmi les limitations figurent des limites pour les fonctionnalités utilisant le pipeline d’analyse et pour les flux de cloud hors solution déclenchés par Power Apps, comme décrit dans cette section.

Limitations sur les fonctionnalités utilisant le pipeline d’analyse

Lorsqu’un environnement est activé pour les clés gérées par le client, les données Power Automate ne peuvent pas être envoyées au pipeline d’analyse pour une série de scénarios :

Limitation sur les flux de cloud hors solution déclenchés par Power Apps

Les flux de cloud hors solution qui utilisent le déclencheur Power Apps et qui sont créés dans les environnements protégés CMK ne peuvent pas être référencés à partir d’une application. Une erreur survient lors de la tentative d’enregistrement du flux à partir de Power Apps. Seuls les flux de cloud de solution peuvent être référencés à partir d’une application dans des environnements protégés par CMK. Pour éviter cette situation, les flux doivent d’abord être ajoutés dans une solution Dataverse afin qu’ils puissent être référencés avec succès. Pour éviter cette situation, le paramètre d’environnement permettant de créer automatiquement des flux dans les solutions Dataverse doit être activé dans les environnements protégés par CMK. Ce paramètre garantit que les nouveaux flux sont des flux de cloud de la solution.

Limitation de l’appel des flux de déclencheur Compétences de Copilot

Les scénarios dans lesquels un flux de cloud est appelé via le déclencheur de compétences Copilot appliquant la connexion de l'utilisateur Copilot qui invoque le flux plutôt qu'une connexion intégrée ne sont pas pris en charge pour les flux de cloud protégés par CMK. En savoir plus sur l’utilisation des flux en tant que plug-ins de Copilot dans Exécuter des flux à partir de Copilot pour Microsoft 365.

Gérer votre clé de chiffrement gérée par le client